Bewältigung der Herausforderungen der Cybersecurity Maturity Model Certification (CMMC v2) mit Vectra AI

Das CMMC 2.0, das im Dezember 2021 in Kraft treten soll, ist eine Kombination aus verschiedenen bewährten Praktiken und Cybersicherheitsstandards und stellt eine Weiterentwicklung des aktuellen DFARS 252.204-2012 dar. CMMC fügt eine Verifizierung als Anforderung hinzu, wobei verschiedene Stufen verfügbar sind.

Die meisten Organisationen müssen sich jedoch auf Stufe 1 selbst zertifizieren und je nach den vertraglichen Anforderungen eine zusätzliche Zertifizierung für Stufe 2 oder 3 erhalten.

Da sich Richtlinien, Standards und bewährte Verfahren ständig weiterentwickeln, sollte diese Zuordnung nur als Leitfaden für die Automatisierung von NDR in Unternehmensnetzwerken auf jeder Klassifizierungsstufe dienen. Da die Vectra Threat Detection and Response-Plattform alle Arbeitslasten unterstützt - von cloud bis zum Rechenzentrum und von traditionellen IT-Ressourcen bis zu industriellen IoT/OT-Steuerungen und -Sensoren - können die Anwendbarkeit und die Vorteile der kontinuierlichen Überwachung und Echtzeit-Warnungen bei vielen Zertifizierungsherausforderungen helfen und gleichzeitig die Gesamtarbeitslast des Security Operations Center (SOC) und der Sicherheitsanalysten reduzieren.

Der folgende Abschnitt hebt die wichtigsten Anforderungen des CMMC hervor und erläutert im Detail, wie die Vectra-Plattform für Bedrohungserkennung und -reaktion diese Kategorie erfüllt. Durch den Einsatz von patentiertem maschinellem Lernen (ML) und künstlicher Intelligenz (KI) können wochen- oder monatelange Arbeitsabläufe und Analysen in wenigen Minuten automatisiert werden. Wenn Sie weitere Informationen wünschen, wenden Sie sich noch heute an Ihr Vectra-Bundesteam und fordern Sie eine Lösungsbeschreibung an.

Um die Bundesbehörden zu unterstützen, hat Vectra diesen Leitfaden erstellt, der die verschiedenen Anforderungen an die Vectra Threat Detection and Response-Plattform abbildet. Dies ermöglicht die Zuordnung des CMMC zu den DFARS (NIST 800-171 und NIST 800-172) und den traditionellen NIST 800-53 Kontrollen.

Bereich: Zugangskontrolle (AC)

AC.L2-3.1.5 Geringstmögliche Privilegien (CMMC 2 - 3): Anwendung des Prinzips der geringsten Privilegien, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten. (800- 53: AC-6, AC-6(1), AC-6(5))

Vectra Detect™, das auf der Vectra Threat Detection and Response-Plattform läuft, überwacht den privilegierten Zugriff auf Anomalien, wodurch wiederum Benutzer identifiziert werden können, die privilegierte Aktivitäten durchführen. Diese Erkennungen erfolgen in On-Premise-Implementierungen, Azure-, AWS- und Microsoft 365-Umgebungen in kommerziellen und behördlichen Tenants. Den meisten Unternehmen fehlt die Möglichkeit, Änderungen am Zugriff eines Benutzers oder eines Hosts zu validieren oder zu verfolgen, sobald die Berechtigung erteilt wurde, und nach anomalem Verhalten zu suchen, das auf Angreifer hindeutet, die Command and Control, Massendateiexfiles, ransomware oder andere Aktivitäten durchführen.

AC.L2-3.1.6 Verwendung von nicht-privilegierten Konten (CMMC 2 - 3): Verwendung von nicht-privilegierten Konten oder Rollen für den Zugriff auf nicht sicherheitsrelevante Funktionen. (800-53: AC-6(2))

Vectra Detect überwacht den privilegierten Zugriff auf Anomalien, wodurch wiederum festgestellt werden kann, welche Benutzer privilegierte Aktivitäten durchführen. Diese Erkennungen erfolgen in On-Premise-Implementierungen, Azure, AWS und Microsoft Office 365-Umgebungen. Sowohl in den kommerziellen als auch in den staatlichen Tenants. Durch die Verwendung verschiedener unüberwachter KI-Modelle kann die Vectra Threat Detection and Response-Plattform die Bedrohungs- und Sicherheitsbewertung für die Nutzung von Konten erhöhen, die nicht der Norm entsprechen. Wenn diese Erkennung mit anderen Verhaltensweisen von Angreifern in der Umgebung korreliert wird, ermöglicht sie eine zuverlässige Warnung, dass ein Konto in einen Angriff verwickelt ist und nicht nur "etwas anderes" tut. Die Erkennung von Anomalien erzeugt oft eine große Menge an Rauschen und ist unzuverlässig. Die Korrelation der Anomalie mit anderen Verhaltensweisen bietet mehr Sicherheit.

AC.L2-3.1.7 Privilegierte Funktionen (CMMC 2 - 3): Verhindern Sie, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen und erfassen Sie die Ausführung solcher Funktionen in Prüfprotokollen. (800-53: AC-6(9), AC-6(10))

Die Vectra-Plattform für Bedrohungserkennung und -reaktion bietet automatische Echtzeitwarnungen für Benutzer, die sich privilegiert verhalten, über Integrationen in AzureAD, Active Directory, LDAP und andere Identitätsquellen. Durch die Untersuchung der Kontenaktionen und der "beobachteten Privilegien" in Korrelation mit anderen verhaltensbasierten Erkennungen können Echtzeitwarnungen und Kontosperrungen/-einschränkungen eingerichtet werden, um potenzielle Bedrohungen zu entschärfen.

AC.L2-3.1.12 Fernzugriff kontrollieren (CMMC 2 - 3): Überwachung und Steuerung von Fernzugriffssitzungen. (800-53: AC-17(1))

Vectra Detect und Vectra Stream überwachen Fernzugriffssitzungen und -pfade. Die Informationen können auf der Grundlage von Integrationen mit NAC-, SOAR-, EDR- und SIEM-Tools verarbeitet werden. Fernzugriffssitzungen werden in Vectra Detect kategorisiert und mit einer Risiko- und Auswirkungsbewertung versehen. Dies ermöglicht es Analysten und Technikern, sich auf Benutzer mit höherem Risiko zu konzentrieren, ohne das Rauschen, das normalerweise mit der Verfolgung von Fernzugriffssitzungen verbunden ist. In den Metadaten werden spezifische Details zu Fernzugriffssitzungen und -protokollen verfolgt und mit potenziellen Angreiferverhaltensweisen aus den KI-Modellen korreliert. Durch die Korrelation der Ergebnisse der verschiedenen Modelle mit den beobachteten Fernzugriffssitzungsinformationen können automatische Reaktionen, Kontrollen usw. eingeleitet werden.

AC.L2-3.1.15 Privilegierter Fernzugriff (CMMC 2 - 3): Autorisierung der Fernausführung von privilegierten Befehlen und des Fernzugriffs auf sicherheitsrelevante Informationen. (800-53: AC-17(4))

Vectra Detect überwacht die Remote-Ausführung von privilegierten Befehlen. Diese Fähigkeit ist nativ in den kommerziellen und staatlichen cloud(s) und in Microsoft 365-Umgebungen vorhanden. Die beobachtete Remote-Ausführung von privilegierten Befehlen weist einem Asset automatisch eine hohe oder kritische Bewertung zu, die auf anderen beobachteten Verhaltensaktivitäten basiert.

AC.L2-3.1.8 Erfolglose Anmeldeversuche (CMMC 2 - 3): Begrenzung der erfolglosen Anmeldeversuche.

Die Vectra-Plattform für Bedrohungserkennung und -reaktion ermöglicht die Überwachung und Erkennung von Brute-Force-Angriffen und MFA-Umgehungsmechanismen, die in der Regel mit erfolglosen Anmeldeversuchen einhergehen. Sperren aufgrund mehrerer fehlgeschlagener Anmeldeversuche sind in der Regel harmlos. In Verbindung mit anderen Erkennungen von Angriffsverhalten kann Vectra jedoch automatische Abhilfemaßnahmen, Kontosperrungen oder andere Aktionen anbieten.

AC.L1-3.1.20 Externe Verbindungen (CMMC 1 - 3): Überprüfung und Kontrolle/Beschränkung von Verbindungen zu und Nutzung von externen Informationssystemen. (800-53: AC-20, AC-20(1))

Vectra Detect und Vectra Stream überwachen Verbindungen zu und von externen Informationssystemen. Die auf diesen Funktionen basierenden Erkennungen werden mit anderen Datenquellen korreliert, um Reaktionen zu automatisieren, die auf dem beobachteten Verhalten von Vectra sowie anderen Sicherheits- und Orchestrierungstools basieren. Beispielsweise nutzen viele Angreifer, malware, oder Insider-Bedrohungen PowerAutomate, um versteckte Verbindungen und Vertrauensbeziehungen zu externen Datenquellen (DropBox, SharePoint, etc.) aufzubauen. Vectra ermöglicht die Erkennung dieser "verdächtigen Aktivitäten" und föderierter Vertrauensbeziehungen unter Verwendung erweiterter Berechtigungen.

Bereich: Identifizierung und Authentifizierung (IA)

IA.L2-3.5.3 Multifaktorielle Authentifizierung (CMMC 2 - 3): Verwenden Sie die Multifaktor-Authentifizierung für den lokalen und Netzwerk-Zugang zu privilegierten Konten und für den Netzwerk-Zugang zu nicht-privilegierten Konten.

Obwohl die Multifaktor-Authentifizierung (MFA) eine verbesserte Identitätsüberprüfung bietet, sind viele raffinierte Angreifer und Nationalstaaten in der Lage, diese Kontrollen über kompromittierte Anmeldeinformationen, Spoofing und die Manipulation der zugrunde liegenden Konfigurationen in Tools wie Azure AD zu umgehen. Die Fähigkeit von Vectra, Anmeldungen zu erkennen, die MFA umgehen, M365/AzureAD-Administratoren, die untypische MFA-Änderungen vornehmen, und vollständige Scans des Zustands der mehr als 7.500 Konfigurationslinien innerhalb von AzureAD ermöglichen Warnungen vor Mechanismen, die die Root-Systeme selbst nicht erkennen können.

Bereich: Reaktion auf Zwischenfälle (IR)

IR.L2-3.6.1 Behandlung von Zwischenfällen (CMMC 2 - 3): Aufbau einer operativen Fähigkeit zur Behandlung von Zwischenfällen für organisatorische Systeme, die Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Benutzerreaktionen umfasst. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)

Mithilfe der Vectra-Funktionen wird die IR mit Daten angereichert, die die Erkennung, Eindämmung und andere KI-angereicherte Metadaten für die Berichterstattung und Forensik unterstützen. Darüber hinaus bietet Vectra Detect im Vorfeld Verhaltenserkennungsfunktionen, die die tatsächliche IR auf der Grundlage von Früherkennung, automatischer Durchsetzung und Alarmierung abschwächen. Mit der Fähigkeit, neue und unbekannte Bedrohungen ohne Signaturen in Echtzeit zu erkennen, kann Vectra innerhalb von Sekunden nach Auftreten des ersten Angreiferverhaltens für Erkennung und Eindämmung sorgen. Um das Änderungsmanagement aufrechtzuerhalten, können Ticketing und SOAR-basierte Playbooks eingesetzt werden, um eine gewisse Zeit menschlicher Interaktion zu ermöglichen, bevor eine automatische Eindämmung/Sperrung des Hosts oder Benutzers erfolgt.

IR.L2-3.6.2 Meldung von Zwischenfällen (CMMC 2 - 3): Verfolgung, Dokumentation und Meldung von Vorfällen an die zuständigen Beamten und/oder Behörden innerhalb und außerhalb der Organisation. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)

Vectra Detect erkennt Vorfälle, stuft sie ein und gibt über das Vectra-Dashboard eine Warnung aus, wenn sie hoch oder kritisch sind. Diese Warnungen und die Echtzeit-Berichterstattung in Vectra Detect ermöglichen die sofortige Einleitung von Maßnahmen. Die Integration mit SIEM- und Ticketing-Tools ermöglicht zusätzliche Berichts- und Reaktionsmöglichkeiten auf der Grundlage von Vorschriften für interne und externe Quellen.

Bereich: Risikomanagement (RM)

RA.L2-3.11.2 Schwachstellenscan (CMMC 2 - 3): Regelmäßige Überprüfung auf Schwachstellen in organisatorischen Systemen und Anwendungen und wenn neue Schwachstellen diese betreffen. (800-53: RA-5, RA-5(5))

Vectra Stream sammelt und speichert sicherheitsrelevante Netzwerk-Metadaten aus dem gesamten Datenverkehr. Die Metadaten werden mit tiefen Sicherheitseinblicken und Bedrohungskontext angereichert, die für die Identifizierung anfälliger Systeme in SIEM-Tools entscheidend sind. Gleichzeitig identifiziert Vectra Detect in Echtzeit neue Systeme, die aufgrund des beobachteten Benutzerverhaltens, der seitlichen Bewegungen von Angreifern und der über 70 patentierten KI-basierten Verhaltensmodelle anfällig sein könnten. Bestimmte Teile der Metadaten können verwendet werden, um Merkmale wie schwache Cyphers (alte TLS-Versionen), SMB-Freigaben und Beaconing zu erkennen, die auf verwundbare Anlagen hinweisen können. Viele Unternehmen stellen fest, dass es mit der Vectra Threat Detection and Response-Plattform viel mehr Ressourcen in ihrer Umgebung gibt, die nicht berücksichtigt werden, aber auch ein Hauptziel für Angreifer darstellen.

RA.L2-3.11.3 Behebung von Schwachstellen (CMMC 2 - 3): Behebung von Schwachstellen in Übereinstimmung mit den Risikobewertungen. (800-53: RA-5)

Vectra Detect und Vectra Stream sind in der Lage, sofort Maßnahmen gegen Schwachstellen zu ergreifen, sowohl nativ als auch bei Integration in eine Orchestrierungsumgebung. Die Erkennung von Konten mit deaktivierter MFA, Hosts mit offenem SMB oder schwachen Cyphern sowie die Analyse des Metadatenverkehrs ermöglichen Abhilfemaßnahmen, bevor die Risikobewertung abgeschlossen ist. Die Vectra Threat Detection and Response-Plattform kann eine automatische Deaktivierung von Konten innerhalb von LDAP und AD durchführen und die Änderung von Berechtigungen (COA) innerhalb einer NAC-Lösung koordinieren, um die Berechtigung zu deaktivieren oder ACLs innerhalb einer Umgebung zu ändern. Basierend auf verschiedenen Erkennungen kann die Fähigkeit, Hosts mit bestimmten Bedrohungs- und Sicherheitsscores von Vectra einzuschränken, innerhalb von EDR-Tools wie Microsoft Defender, CrowdStrike und CarbonBlack automatisiert werden.

RA.L2-3.11.2 Schwachstellen-Scan (CMMC 2 - 3): Regelmäßige Überprüfung auf Schwachstellen in den Systemen und Anwendungen der Organisation sowie bei Auftreten neuer Schwachstellen, die diese Systeme und Anwendungen betreffen.

Eine große Lücke in den meisten cloud Sicherheitsbewertungen und Compliance ist die Haltung der 7.500+ individuellen Konfigurationszeilen pro Benutzer innerhalb von AzureAD/M365. Es wurde in vielen Fällen festgestellt, dass Token und Authentifizierung von Angreifern geklont wurden, die diese leicht zu manipulierenden Bereiche nutzen. Vectra bietet eine kontinuierliche Überwachung/Scanning-Fähigkeit der Sicherheitslage innerhalb von AzureAD in den kommerziellen, GCC-, GCC-HIGH- und staatlichen SECRET- und TOP SECRET-Enklaven. Vectra Protect ist die einzige Funktion, die von Microsoft zur Unterstützung dieser Initiativen genehmigt wurde.

Bereich: Sicherheitsbewertung (CA)

CA.L2-3.12.3 Überwachung der Sicherheitskontrollen (CMMC 2 - 3): Laufende Überwachung der Sicherheitskontrollen, um die kontinuierliche Wirksamkeit der Kontrollen zu gewährleisten. (800-53: CA-2, CA-5, CA-7, P-2)

Die Cyber-Detection-Engine Vectra AI bietet Echtzeit-Dashboard-Ansichten und Warnmeldungen zu potenziellen Problemen und ermöglicht die Validierung von Sicherheitskontrollen sowie die weitere Überprüfung, ob die Sicherheitskontrollen wirksam und umfassend sind. Im Idealfall ist eine Umgebung gut kontrolliert und abgeschottet, aber die meisten Unternehmen bieten keine angemessenen Kontrollen für Nebensysteme, die ein seitliches Eindringen in kritischere Umgebungen ermöglichen. Der Einsatz des Vectra Detect Dashboards bietet Echtzeitinformationen über kompromittierte Systeme, neue Angriffe, die die aktuellen Sicherheitskontrollen umgehen, und ein Mittel zur Erkennung roter/violetter Teams bei Bewertungen.

Bereich: System- und Kommunikationsschutz (SC)

SC.L2-3.13.6 Netzwerkkommunikation durch Ausnahmen (CMMC 2 - 3): Verweigern Sie den Netzwerkkommunikationsverkehr standardmäßig und erlauben Sie den Netzwerkkommunikationsverkehr ausnahmsweise (d. h. verweigern Sie alles, erlauben Sie ausnahmsweise).

Organisationen, die zu einer Zero Trust Sicherheitsarchitektur wechseln, stehen vor vielen Herausforderungen. Als analytische Grundlage zahlreicher Referenzarchitekturen der Intelligence Agency Zero Trust bietet die Vectra Threat Detection and Response-Plattform allen Umgebungen zusätzlichen Kontext für die Erkennung von Anomalien bei der Nutzung von Hosts/Accounts mit erhöhten Berechtigungen, die Ressourcen außerhalb ihrer erlernten Norm nutzen. Zero Trust schränkt zwar den zugrundeliegenden Zugriff ein, ist aber oft nicht granular genug, um die aktivierten Konten zu verfolgen, nachdem ihnen Berechtigungen erteilt wurden.

SC38: SC.L2-3.13.11 CUI-Verschlüsselung (CMMC 2 - 3): Einsatz von FIPS-validierter Kryptographie, wenn sie zum Schutz der Vertraulichkeit von CUI eingesetzt wird. (800-53: SC-13)

Die angereicherten Metadaten der Vectra-Plattform für Bedrohungserkennung und -reaktion sind in der Lage, schwache Verschlüsselungen in der Umgebung zu erkennen, die auf nicht FIPS-validierte Verschlüsselungen hinweisen. In vielen Berichten wird festgestellt, dass die Umgebung zwar FIPS-fähig ist, aber viele ältere Tools oder OT/IoT/ICS-Umgebungen schwache oder veraltete Verschlüsselungen verwenden. Die automatische Aufdeckung dieser Schwachstellen innerhalb der Vectra Threat Detection and Response-Plattform kann sofortige Transparenz schaffen. Die Vectra Threat Detection and Response-Plattform nutzt FIPS 140-2-konforme Kryptographie für alle Übertragungen und föderalen Data-at-Rest (DAR) von ML-erweiterten Metadaten und Micro-PCAP-Instanzen. Alle Schnittstellen zu Systemen von Drittanbietern werden mit konformen Kryptografien initiiert. Die Vectra Threat Detection and Response-Plattform erfordert keine Entschlüsselung des Datenverkehrs, um die ML-basierten Verhaltenserkennungsfunktionen auszuführen. Dies bedeutet, dass für den Betrieb kein "Break-and-Inspect" erforderlich ist.

SC39: SC.L1-3.13.1 Schutz der Grenzen (CMMC 1 - 3): Überwachung, Kontrolle und Schutz der organisatorischen Kommunikation (d. h. der von den Informationssystemen der Organisation übertragenen oder empfangenen Informationen) an den externen Grenzen und wichtigen internen Grenzen der Informationssysteme. (800-53: SC-7, SA-8) Vectra Detect und Vectra Stream überwachen die Kommunikation an den externen und wichtigen Grenzen. Auf neuronalen Netzen basierende verhaltensbasierte Cyber-Erkennungsfunktionen identifizieren und warnen Sicherheitsanalysten in Echtzeit vor potenziellen Bedrohungen auf allen Ebenen der Kommunikationssysteme. Im Gegensatz zu signaturbasierten Funktionen ist Vectra nicht an "bekannte" Angriffsvektoren zur Umgehung der Grenzen gebunden, sondern kann stattdessen neue oder "unbekannte" Angriffe auf der Grundlage der aufeinanderfolgenden Verhaltensweisen erkennen.

Bereich: System- und Informationsintegrität (SI)

SI.L1-3.14.1 Behebung von Fehlern (CMMC 1 - 3): Identifizierung, Meldung und rechtzeitige Korrektur von Fehlern in Informationen und Informationssystemen. (800-53: SI-2, Si-3, SI-5)

Vectra Stream bietet eine vollständige Data-Lake-Integration für Berichte und forensische Funktionen während und nach einem Vorfall. Diese Daten können mit anderen Plattformen korreliert werden, um Schwachstellen in Datensätzen zu lokalisieren und vergleichende Übungen durch SOC-Teams mit KI-angereicherten Metadaten zu ermöglichen. Echtzeit-Warnungen werden im Dashboard der Vectra Threat Detection and Response-Plattform angezeigt. Dies ist der Grund, warum viele CISO-Organisationen zu Beginn und am Ende jeder Schicht einen Blick auf Vectra werfen, um die aktuelle Situation zu verstehen.

SI.L1-3.14.2 Schutz vor bösartigem Code (CMMC 1 - 3): Schutz vor bösartigem Code an geeigneten Stellen in den Informationssystemen der Organisation bereitstellen. (800-53: SI-2, SI-3, SI-5)

Anstatt bösartigen Code zu verhindern, erkennt die Vectra Threat Detection and Response-Plattform neue Verhaltensweisen von Bedrohungen, einschließlich Command-and-Control-Kommunikation, Datenexfiltration und Lateral Movement, und reagiert auf diese. Infolgedessen kann die Vectra Threat Detection and Response-Plattform ein System automatisch unter Quarantäne stellen oder einen Honeypot einrichten und die Branchenpartnerschaft mit Lösungen für Network Access Control (NAC), Endpoint Detection and Response (EDR) und Security Orchestration and Response (SOAR) nutzen, um die zusätzliche Ausbreitung auf andere Systeme und Endpunkte in cloud, Remote- und anderen Umgebungen einzudämmen. Der Ansatz zur Nutzung von KI für die Automatisierung einer Zero-Trust-Sicherheitsreaktion auf potenzielle bösartige Akteure und neue Angriffe ermöglicht es Vectra, Angriffe zu stoppen, bevor sie begonnen haben.

SI.L1-3.14.4 Schutz vor bösartigem Code aktualisieren (CMMC 1 - 3): Aktualisieren Sie die Schutzmechanismen gegen bösartigen Code, wenn neue Versionen verfügbar sind. (800-53: SI-3)

Aufgrund des verhaltensorientierten Charakters der Vectra-Plattform für Bedrohungserkennung und -reaktion sind keine Updates erforderlich. Das System nutzt kontinuierlich neue KI-Algorithmen, um neu auftretende Bedrohungen zu erkennen, bevor die meisten Anbieter und Sicherheitsorganisationen herkömmliche Definitionen veröffentlicht haben. Durch die Nutzung von KI-Verhaltenserkennungen kann die Bedrohung durch neue Angreifer reduziert und die Zeit bis zur Erkennung und Reaktion von Stunden, Tagen oder Wochen auf Minuten reduziert werden.

SI.L2-3.14.6 Überwachung der Kommunikation auf Angriffe (CMMC 2 - 3): Überwachung der Organisationssysteme, einschließlich des ein- und ausgehenden Kommunikationsverkehrs, um Angriffe und Indikatoren für potenzielle Angriffe zu erkennen. (800-53: AU-2, AU-2(3), AU-6, SI-4, SI-4(4))

Vectra Detect bietet IDS/IPS-Funktionen der nächsten Generation und KI-gesteuerte Verhaltenserkennung von Angriffen, ohne dass Definitionen, Entschlüsselung des Datenverkehrs oder andere Techniken, die bei den meisten kommerziellen Angeboten üblich sind, erforderlich sind. Vectra unterstützt die meisten unserer nationalen Sicherheitssysteme (NSS) und ermöglicht es Cyber-Teams, einen Angriff zu entschärfen, bevor er sich vervielfältigen oder Schaden anrichten kann.

SI.L2-3.14.7 Erkennen von unbefugter Nutzung (CMMC 2 - 3): Identifizierung der unautorisierten Nutzung von Organisationssystemen. (800-53: SI-4)

Vectra Detect identifiziert, reagiert und entschärft den Missbrauch von privilegierten Konten und die Gefährdung, wenn Benutzer Aktivitäten durchführen, die über das normale Verhalten hinausgehen. Diese böswilligen Verhaltensweisen sind Hauptindikatoren dafür, dass ein Angreifer das Benutzerkonto und die Privilegien eines Benutzers übernommen oder ein gefälschtes Konto erstellt hat, um sich auf der Suche nach zu exfiltrierenden Ressourcen seitlich zu bewegen. Bei den meisten Angriffen der letzten Zeit wurde ein gewisses Maß an Kompromittierung von M365-Konten und seitlicher Bewegung durch die Umgebungen auf der Grundlage erweiterter Privilegien genutzt. Die Fähigkeit, diese Verhaltensweisen zu erkennen, bevor sie Zeit haben, im GCC-HIGH ausgeführt zu werden, ist eine Schlüsselkomponente für den Schutz des Unternehmens.

Zusammenfassung

Vectra bildet die verschiedenen Anforderungen des CMMC über die Vectra Threat Detection and Response-Plattform ab. Als führende KI-gesteuerte Netzwerkerkennungs- und Reaktionsplattform unterstützt Vectra Arbeitslasten im gesamten Netzwerk auf jeder Klassifizierungsebene, einschließlich cloud, Rechenzentrum, IoT und Unternehmen. Die Plattform ermöglicht eine kontinuierliche Überwachung und Echtzeit-Warnungen und reduziert gleichzeitig die Gesamtarbeitslast des Security Operations Center (SOC) und der Sicherheitsanalysten.